第5章信息安全风险评估实施流程重点介绍.pptx

第5章 信息安全风险评估实施流程;5.1 风险评估准备;5.2 资产识别;5.2.2 参与人员 5.2.3 工作方式 1 . 评估范围之内的业务识别 2. 资产的识别与分类 3. 安全需求分析 4. 资产赋值;5.2 资产识别;5.2.4 工具及资料 1. 自动化工具 2. 手工记录表格 3. 辅助材料;资产识别记录表;5.2 资产识别;5.3 威胁识别;5.3.3 工作方式 1. 威胁识别 （1）针对实际威胁的识别活动 （2）针对潜在威胁的识别活动 2. 威胁分类 3. 构建威胁场景 4. 威胁赋值 5.3.4 工具及资料;来源;5.3.5 输出结果 威胁列表； 关键资产的威胁场景。;5.4.1 工作内容 5.4.2 参与人员;5.4.3 工作方式 1. 脆弱性识别方法 2. 脆弱性识别原则 （1）全面考虑和突出重点相结合的原则 （2）局部与整体相结合的原则 （3）层次化原则 （4）手工与自动化工具相结合的原则 3. 脆弱性识别内容 ;;5.4.3 工作方式 4. 脆弱性赋值 5. 脆弱性分类的设计;5.4.4 工具及资料 1. 漏洞扫描工具 2. 各类检查列表 3. 渗透测试 5.4.5 输出结果 1. 原始的识别结果 2. 漏洞分析报告;5.5 已有安全措施确认;5.5.3 工作方式 1. 技术控制措施的识别与确认 2. 管理和操作控制措施的识别与确认 3. 分析与统计 5